Als Datenverarbeitung (DV) bezeichnet man im Allgemeinen den organisierten Umgang mit Datenmengen mit dem Bestreben, Informationen über diese Datenmengen zu gewinnen bzw. diese Datenmengen zu verändern. Der Begriff wurde bereits vor der Einführung von Computersystemen verwendet.
Die allgemeine Datenverarbeitung ist heute tägliche Grundlage bei der Nutzung von Computer, Software und Medien und kann über vielseitige technische Bahnen und Komponenten erfolgen. Dieser Aspekt soll in diesem Abschnitt auch nicht beleuchtet werden. Vielmehr die Schutzvorschriften der Verarbeitung an sich; v.a. der personenbezogenen Daten.
Personenbezogene Daten
Der tägliche Umgang mit Datenmengen, dessen Erhebung und Speicherung unterliegt nicht dem individuellen Belieben. Während die Datenverarbeitung im Privatleben und -Zweck innerhalb des heimischen PC's oder Smartphones keinerlei Aufsicht unterliegt, gibt es für den Datenaustausch im Wirtschafsleben klare Regelungen und Bedingungen. Sie unterliegen der Datenschutzgrundverordnung. Gemäß des Artikels 4, Nummer 2 der Datenschutzgrundverordnung (DSGVO) wird diesbezüglich der Begriff "Verarbeitung" definiert als:
"jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung"
Quelle: Art. 4 Nr. 2 DSGVO
Besonderem Schutz kommen dabei personenbezogenen Daten zu. Hier werden in der Datenschutzgrundverordnung verpflichtende Regeldsätze für das Erheben und Verarbeiten von diesbezüglichen Daten genannt. Die Verarbeitung muss v. a. den folgenden Grundsätze entsprechen (Art. 5 Abs. 1 DSGVO):
- Sie muss der Rechtmäßigkeit unterliegen, Verarbeitung nach Treu und Glauben und bei gegebener Transparenz
- Daten können nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht zweckentfremdet weiterverarbeitet werden
- Sie unterliegt der Datenminimierung. Daher dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt.
- Sie muss die Richtigkeit gewährleisten und auf dem neusten Stand sein.
- Die Form der Datenspeicherung dard die Identifizierung der betroffenen Personen nur so lange ermöglichen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
- Sowie die Integrität und Vertraulichkeit gewährleisten. Ihre Speicherung muss geschützt sein vor Verlust, unbefugter oder unrechtmäßiger Verarbeitung als auch unbeabsichtigter Schädigung oder Zerstörung.
Bei größeren Datenmengen ist die Beratung durch einen externen Datenschutzbeauftragten/-Beraters sinnvoll, da Verstöße gegen Verordnungen mit Sanktionen belegt sind.
Datenverarbeitung im Rahmen von Auftragsverwaltung
Sollten Daten im Auftrag eines Geschäftspartners verarbeitet werden, müssen Verantwortlicher und Auftragsnehmer dies in einen gesonderten Vertrag (AV-Vertrag mit Kundendienstbüro oder Callcenter) über die Datenverarbeitung beschließen. Dieser muss inhaltlich ebenso den weiterführenden Anforderungen der Datenschutzgrundverordnung entsprechen. Ziel ist die Garantie dafür, dass:
"geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."
Quelle Art. 28 Abs. 3 DSGVO
Einer Rechtsgrundlage bedarf auch der Datenaustausch innerhalb von Konzernen. Untergeordnete Gesellschaften werden ähnlich mit Regelwerken belegt, wie ein fremdes Unternehmen.